ISMS Copilot
Glossaire ISO 27001

Qu'est-ce qu'une menace dans l'ISO 27001 ?

Aperçu

Une menace est toute cause potentielle d'un incident indésirable pouvant entraîner des dommages à vos systèmes d'information ou à votre organisation. Dans l'ISO 27001:2022, l'identification des menaces est un élément fondamental de l'appréciation des risques (Clause 6.1.2) et détermine les mesures de sécurité que vous devez mettre en œuvre.

Comprendre les menaces vous aide à évaluer la probabilité et l'impact des risques pesant sur vos actifs informationnels.

Les menaces en pratique

Lors de l'appréciation des risques, vous identifiez les menaces qui pourraient exploiter les vulnérabilités de vos actifs et provoquer des incidents de sécurité. Les menaces peuvent être :

  • Intentionnelles : Actions délibérées d'acteurs de menaces (hackers, initiés malveillants, concurrents)

  • Accidentelles : Actions involontaires causant des dommages (erreurs d'employés, mauvaises configurations)

  • Environnementales : Événements naturels ou conditions physiques (incendies, inondations, coupures de courant)

Les menaces exploitent les vulnérabilités pour créer des risques. Une vulnérabilité sans menace crédible peut poser un risque minime, tandis qu'une menace sans vulnérabilité à exploiter ne peut causer de dommage.

Catégories de menaces

Cybermenaces

Menaces ciblant les systèmes numériques et les données :

  • Logiciels malveillants : Virus, ransomwares, chevaux de Troie, logiciels espions

  • Hameçonnage (Phishing) : Ingénierie sociale pour voler des identifiants ou des informations sensibles

  • Déni de service distribué (DDoS) : Saturation des systèmes pour perturber la disponibilité

  • Menaces persistantes avancées (APT) : Attaques sophistiquées et ciblées

  • Injection SQL et attaques web : Exploitation des vulnérabilités des applications

  • Exploits zero-day : Attaques utilisant des vulnérabilités auparavant inconnues

Exemple : Une menace de ransomware pourrait exploiter une vulnérabilité de serveur non corrigée (A.8.8) pour chiffrer des données critiques, causant une perte financière et une interruption opérationnelle.

Menaces humaines

Menaces impliquant des personnes :

  • Infiltrés malveillants : Employés ou prestataires volant intentionnellement des données ou sabotant des systèmes

  • Ingénierie sociale : Manipulation des utilisateurs pour contourner les contrôles de sécurité

  • Abus de privilèges : Utilisateurs autorisés dépassant leurs droits d'accès

  • Erreurs involontaires : Suppression accidentelle de données, mauvaise configuration ou envoi d'informations sensibles à de mauvais destinataires

Exemple : Un employé cliquant sur un e-mail de phishing pourrait fournir des identifiants permettant un accès non autorisé aux données clients (contré par la sensibilisation à la sécurité A.6.3 et le MFA A.5.17).

Menaces physiques

Menaces pesant sur les actifs physiques et les installations :

  • Vol : Vol d'ordinateurs portables, de serveurs, de supports de sauvegarde

  • Accès non autorisé : Intrus pénétrant dans des zones sécurisées

  • Vandalisme : Dommages intentionnels aux équipements

  • Catastrophes naturelles : Tremblements de terre, inondations, incendies

  • Défaillances d'infrastructure : Coupures de courant, pannes de CVC, dégâts des eaux

Exemple : Un incendie dans un centre de données menace la disponibilité des serveurs (traité par les contrôles de sécurité physique A.7.1-A.7.14 et les procédures de sauvegarde A.8.13).

Menaces liées aux tiers

Menaces provenant de fournisseurs, partenaires et prestataires de services :

  • Attaques de la chaîne d'approvisionnement : Logiciels ou matériels compromis provenant de fournisseurs

  • Défaillances des services cloud : Pannes du fournisseur ou violations de sécurité

  • Négligence des prestataires : Tiers ne maintenant pas les contrôles de sécurité

Exemple : Une violation chez un fournisseur cloud exposant les données clients (atténuée par les évaluations de sécurité des fournisseurs A.5.19-A.5.23 et les exigences de sécurité contractuelles).

Les menaces évoluent constamment. Votre appréciation des risques doit être revue régulièrement (à intervalles planifiés et lorsque des changements significatifs surviennent) pour identifier de nouvelles menaces comme les variants de malwares émergents ou les risques géopolitiques.

L'appréciation des menaces dans l'évaluation des risques

Lors de la conduite de l'appréciation des risques (Clause 6.1.2), vous évaluez les menaces en considérant :

  • Source de la menace : Qui ou quoi pourrait causer la menace (cybercriminels, concurrents, événements naturels)

  • Motivation : Pourquoi cibleraient-ils votre organisation (gain financier, espionnage, perturbation)

  • Capacité : Leur niveau de compétence et leurs ressources

  • Probabilité : Probabilité que la menace se concrétise et exploite une vulnérabilité

Exemple de scénario de menace :

  • Actif : Base de données des paiements clients

  • Vulnérabilité : Politique de mot de passe faible (pas de MFA)

  • Menace : Hacker externe cherchant un gain financier

  • Risque : Accès non autorisé aux données de paiement, entraînant une violation de données et des amendes réglementaires

  • Traitement : Mettre en œuvre le MFA (A.5.17), une politique de mot de passe forte (A.5.17) et le chiffrement (A.8.24)

Veille sur les menaces (Threat Intelligence)

L'Annexe A de l'ISO 27001:2022 inclut le contrôle A.5.7 (Veille sur les menaces) comme une nouvelle mesure exigeant que les organisations collectent et analysent des informations sur les menaces pour comprendre celles qui sont pertinentes.

Sources de veille sur les menaces :

  • Agences nationales de cybersécurité (ANSSI, CERT)

  • Groupes de partage d'informations sectoriels (ISACs)

  • Flux de menaces commerciaux et fournisseurs de sécurité

  • Services de surveillance du dark web

  • Rapports d'incidents d'organisations paires

Utilisez ISMS Copilot pour identifier les menaces pertinentes pour votre secteur et vos actifs, générer des scénarios de menace pour vos appréciations de risques, ou mapper les menaces aux contrôles appropriés de l'Annexe A.

Menace vs Vulnérabilité vs Risque

Ces termes sont liés mais distincts :

  • Menace : La cause potentielle d'un incident (ex. : attaque par ransomware)

  • Vulnérabilité : Une faiblesse qui peut être exploitée (ex. : logiciel non corrigé)

  • Risque : La combinaison de la menace, de la vulnérabilité, de la probabilité et de l'impact (ex. : risque élevé de ransomware chiffrant des serveurs non corrigés, causant une interruption d'activité)

Les contrôles traitent les risques en :

  • Réduisant les vulnérabilités (ex. : gestion des correctifs A.8.8)

  • Détectant ou bloquant les menaces (ex. : protection contre les malwares A.8.7)

  • Limitant l'impact si une menace réussit (ex. : sauvegardes A.8.13)

Menaces courantes par secteur

Services Financiers

Menaces persistantes avancées, phishing ciblant les identifiants clients, attaques DDoS, délit d'initié, surveillance réglementaire.

Santé

Ransomwares ciblant les systèmes patients, vol de dossiers médicaux, abus d'accès interne, vulnérabilités des dispositifs médicaux.

Commerce de détail / E-commerce

Vol de données de cartes de paiement, credential stuffing, attaques de la chaîne d'approvisionnement, DDoS lors des pics de vente, transactions frauduleuses.

SaaS / Technologie

Abus d'API, piratage de compte, violations de données, menaces internes, mauvaises configurations cloud, exploits zero-day.

Documentez les menaces identifiées dans votre registre d'appréciation des risques, en liant chaque menace aux actifs, aux vulnérabilités et aux contrôles sélectionnés. Mettez à jour le registre lorsque de nouvelles menaces apparaissent.

Termes connexes

Cela vous a-t-il été utile ?